ランチバッグを新調したことで弁当箱もサイズアップしましたが……
「やはり鞄の中でずれてしまい傾く」リスクがあったので、
この、丸い縦型に戻りました。ややサイズダウンは否めませんが、ここのところ体重も増えてきたのでちょうどいいサイズと見ます。
今回の副菜は、いつものポテサラよりも大きく簡便化。
- 中華クラゲ
- 切り落としのサラダチキン
- カニカマ
- 刻みネギ
以上。ネギ以外の全てに味がついているので
単に混ぜるだけというのもお気に入りです。
平日の休みで軽い花見と昼食。
今回、試したレンズは頂き物の
汎用ズームレンズとキャップレンズのフィッシュアイです。
愛宕神社の桜
いつものレンズと勝手が違ったという印象。これはもう少し精進が必要です。
葛西臨海水族園
おなじみのフィッシュカクテル。季節に合わせて桜のソーダと甘み、クラゲの水まんじゅうをチョイス。
- 醤油風味のマグロのナゲットという他では見られないチョイス
- 大容量のフライヤーと常に循環する油による抜群の油の切れ
- 人が絶えない場所柄、常に揚げたてが提供される
それで650円という絶妙なチョイスにより、ここの隠れた人気メニューまで見えます。
なお、フィッシュアイでの水槽が取れたので満足でした。
- 初期設定
- NAS構築後のHDD初期不良
を乗り越え、無事に移行も完了。次のフェイズに関する簡単なメモです。
宅内サーバ環境の刷新。
さすがにUbuntu 20.04が動き続けるというのは忍びないので、これもHWを変えたいです。昨今、ミニPCも高くなってきているのでその辺は様子を見ながら。
それこそ転がっているノートPCあたりをベースにするのも視野に入れています。
旧NASの外部ディスク転用。
2015年に購入したNASですが、メインのストレージではなく、先のサーバ環境の外部ディスクとして用いるには十分。(さすがにこの際はディスクを変えないとですが)
いずれにしても、これまでのデータを複数取り込むことができたのはありがたい限り。
余談
膨大な写真データのなから、コーンウォールを訪れた際のこういう写真を発掘できたのは割と収穫です。
2026年3月31日に発覚したaxiosのサプライチェーン攻撃。
内容を聞くだけでゾッとする話だったので、調べつつ筆者がインターネット上に設置しているgrowiサーバでの影響を調べました。
筆者環境
- Growi v7.4.7
- npm 11.4.0
- Apache 2.4によるリバースプロキシー
- Ubuntu 24.04
自環境の白黒確認
まずは、動いている環境のaxiosバージョンを特定することが最優先。筆者はこのライブラリを恥ずかしながら聞くまで知らなかったのですが 、JavaScriptのデファクトスタンダード的なHTTPクライアントライブラリ と聞いたので「絶対に入っているだろう」の断定で動きました。
調査コマンド
- Growiのルートディレクトリに移動
cd /path/to/growi自分の環境に合わせます(筆者環境/home/www-data/growi)
- インストール済みaxiosの調査
npm ls axiosまたは
cat pnpm-lock.yaml |grep axios- 調査結果
axios@1.11.0
axios@0.26.1
axios@0.21.4判定:安全
影響を受けるバージョンは
- axios@1.14.1
- axios@0.30.4
そのため、攻撃対象となったaxiosを利用していない(つまり、攻撃コードは混入していない)ものとなっています。
念のための確認
ほぼないとは思いますが「npm updateを実行してしまったかも」の場合は、今回のケースで攻撃者が埋め込んだマルウェアが生成するディレクトリの有無を調べます。
find node_modules -name "plain-crypto-js"結果、何もなければ物理的にもクリーンです。
また、筆者は該当vpsでBookStackやsnipe-itなどのLaravelライブラリを動かしていますが
cd /path/to/BookStack && pwdnpm ls axiosBookStack@ /home/www-data/BookStack
└── (empty)と、いずれも(PHPメインであるためか)動いていない状態が分かりました。
サプライチェーン攻撃の危険さ
開発者が信頼している公式ツールをそのまま使っただけで感染する状態であった点にあります。供給者のツールに攻撃ツールを仕込んでいたということで「サプライチェーン攻撃」だそうで。(発覚後、npm が悪性 axios バージョンを削除)
シーケンス
これをmermaid.jsにまとめたのがこちら。
sequenceDiagram
participant Dev as 開発者 / サーバー
participant NPM as npm レジストリ
participant Mal as 悪意のあるパッケージ<br/>(plain-crypto-js)
participant C2 as 攻撃者サーバー<br/>(C2サーバー)
Note over Dev, NPM: 1. 汚染された axios@1.14.1 を要求
Dev->>NPM: npm install (axios要求)
NPM-->>Dev: axios と依存の plain-crypto-js を配信
Note over Dev: 2. インストール直後にフックが発動
Dev->>Dev: postinstall: node setup.js を自動実行
Note over Dev, C2: 3. OSを判別し、マルウェアを落とし込む
Dev->>C2: 難読化解除 + OS情報送信 + 通信開始
C2-->>Dev: 各OS用ペイロード (Mac/Win/Linux) を送信
rect rgb(240, 240, 240)
Note right of Dev: Linuxの場合: /tmp/ld.py を実行<br/>Windowsの場合: 隠しPowerShellを実行
end
Note over Dev: 4. 証拠隠滅 (セルフデストラクト)
Dev->>Dev: setup.js を削除
Dev->>Dev: package.json をクリーンな状態に書き換え
Note over Dev: node_modules 内は<br/>一見シロに見える
恐ろしさのポイント
- 自動実行: npm install した瞬間に、何も操作せずともウイルス(RAT)が仕込まれます。
- OS別の狙撃: Linux、Windows、macOSそれぞれに最適な攻撃コードが送り込まれます。
- 証拠隠滅: 実行後に自分自身の痕跡(setup.js)を消去し、package.json を書き換えて「何事もなかったかのように」振る舞います。
今後の対策と教訓
たまたまGrowiのアップデートタイミングとずれていた、そして、 pnpm-lock.yamlがあるおかげで、意図しない汚染版の混入を防ぐことができました。
なお、今回のケースで「黒」だった場合は、該当axiosの除去に留まりません。
VPS乗の全ての認証情報
- SSH鍵
- APIトークン
などが漏洩されたものとして作り直す必要があります。
以上、4月1日に公開すべき内容ではないものでした。
NASセットアップ中に起きたHDD初期不良。
これに対してどのようなサポートをし、復旧させたかのメモです。
大前提
サポートを受けられる権利の確認。
これが一番大切です。そもそも、メーカーにしても代理店にしても「故障した」って連絡はまず受け取りたくないもの。
- 購入したという証跡(レシートや注文番号)
- 機器のシリアルナンバー
は必須です。特に、大手代理店やメーカーは、「これは確実にうちのメーカーの正当なものである」というデータベースを持っていますから、その紐付けのためにも上記二つは持っておきましょう。
現状維持。
また、機器の外箱や梱包材なども持っておいたことが今回のスムーズな解決につながります。購入したらすぐ捨てるという断捨離精神は「機器の移行」では命取りになりやすいです。
問い合わせの内容
上記、準備ができたらメールなり問い合わせフォームなどで確認。
サポートへの報告例の前の余談
買ったばかりの製品がいきなり故障。そら、感情的になります。「高い金払わせておいて」の気持ちが先に来るのは当然です。
しかし、前項で示した「バスタブ曲線」であるように、初期不良はつきものです。実際に秋葉原などのパーツ屋で「初期不良は○日以内」ということを聞いた方もいるでしょう。
- 初期不良は起こり得るもの。だから販売店はその方法を明示している
- であれば、そのプロトコルに則る
が、結果的に最速の復旧となります。
サポートへ聞いてみる
これは、筆者の祖母が生前によく言っていたことですが;
「丸い卵も切り様で四角。言葉も言い様で角が立つ」
「聞き間違いは言い手の責任。言い間違いは聞き手の責任」
は、今の大炎上時代を見越したとしか思えない言葉。
- サポート担当が「じゃあ、助けよう」と気持ちよく手配できる
- 互いに誤解を生まない表現
は必要です。
筆者はこんな感じでサポートに聞きました。
ご担当者様
お世話になっております。
○月X日、購入店(または購入サイト名)にて
- 購入したもの1
- 購入したもの2
- 購入したもの3...
を、注文番号:xxxxxxxx で購入いたしましたところ、以下の不良が発生しましたので対応をお願いしたいです。
【不良が起きた製品】
HDD (シリアルナンバー)
【状況概略】
セットアップ中、ディスク読み取りエラーとなって認識されない状況となっております。
【具体的なメッセージ】
TS-216Gの管理画面で
「1つ以上の回復不能な読み取り/書き込みエラーが検出されました。ディスクを交換することを検討してください
のエラーが発生しています。(添付をご参照ください)
QNAP本体もDisk2が赤く点灯しておりました。
〔QNAP本体のエラー〕
以下を確認しております。
エラー 2026-03-27 01:02:40 --- --- localhost --- Storage & Snapshots Disk [Storage & Snapshots] Disk "Host: 3.5" SATA HDD 2" failed. Volume: HOLD, Storage pool: 1.
【事象発生時の操作】
以下を行いました。
1. HDD装填
2. ディスクの認識
3. RAID構築
4. ボリューム作成
5. ボリューム作成後に上記エラーを発見。
【事象発生後に実施したこと】
1. QNAP本体の再起動 → 変化無し
2. ディスクのさし直し → 変化無し
【推定される事象と依頼】
初期不良と思われます。同品交換をお願いできますでしょうか。
または、そうでないならば、対応方法をご教示くださいここでのポイント
5W1Hの確認
「いつ、どの様な操作で、何が起きたか」は確実に伝えましょう。
あくまでも人為的な/故意ではないことを伝える
これが「サポート埒外の操作をしていた」「ブチ切れて機器を床にたたき落とした」等は話を聞いてもらえないでしょう。
何をやっていたかは正常に伝えましょう。
事象の概略→詳報の順番。
相手は何百、何千と問い合わせに対応しています。その対応の是非をトリアージしています。なので「これは早急に対処が必要だ」という書き方のためにも
- まず何が起きたか
- 何をしたらこうなったか
- どうして欲しいか
の3点の順番で伝えると、担当者は「これはすぐに動かねば」となります。
サポートの対応結果
驚くほど迅速でした。
- 障害が起きたパーツ(HDD)を交換する
- その手配をしたので都合のつく日時を教えてほしい
旨を伝えられたので、それを連絡。
そして、すぐに到着。もちろん、それに備えて
- 可能な限りの原状復帰
- HDDを静電気保護袋
- 梱包材
- 外箱
に入れて、その中に
- 購入履歴のコピー
- 発生した障害のメモ
を添えて、担当者が分かりやすい様にしておきます。
状況解決
新しいHDDが到着して、ディスクをQNAPのベイに入れたところ無事認識!
RAIDの構築も正常に行えたので本当に良かったです。
今回のまとめ
構築中に起きた出来事に救われた
これに尽きます。移行時のミスだったので切り戻し、手戻りは容易です。
バスタブ曲線の最初の段階で起きたので迅速な対応ができました。
信頼できる店舗で買えたこと。
そもそも、15年以上も前のデータや父のデジタル遺産を引き継いだ背景もあり「製品の信頼性」が第一でした。
そのため、「どこで買うか」というのは「どのメーカーのもので買うか」以上に重要です。
今回、QNAP/WDという信頼と実績あるメーカーを、信頼できる店舗(TSUKUMO)で買ったのは、販売実績とサポートが厚いという2点によるところが大きいです。
本当のコストパフォーマンスとは
この言葉が叫ばれて久しいですが、筆者は「コストとやらの本質を見失っていないか」という疑問があります。
というのも、「近所のスーパーより10円安いから」といって卵を隣町のスーパーで
- 交通費
- 時間
をかけて手に入れるという行為は、「10円の価値があるのか?」です。特に人間というやつ、かかったコストは計算できてもかかった時間は無頓着になりがちです。
例えばこれが出所が怪しい店舗で、連絡手段がよくわからない店で買っていたら障害発生後の即交換は望めなかったでしょう。
新たな10年に向けて
購入して10年超というNASの移行はなかなかのドラマがありましたが:
新たなデータストレージの引き継ぎがなんとか解決に向かって一安心でした。
次の10年も無事に持つかどうか、それこそ、大切に適切に扱っていきたいです。
TS-216Gセットアップ中、まさかの事象が起き、それを解決しようとしたときのメモです。
- NASの初期設定を終えて
- ストレージプールとボリュームを作成し
- いよいよデータの移行をしよう
と、一番大事な写真データを新しいNASに移行し、目処が立ったところでNAS本体を確認すると「LEDが一つ赤点灯」。
「赤?」思いながらNASの管理画面を見ると
2026-03-27 01:02:40 --- --- localhost --- Storage & Snapshots Disk [Storage & Snapshots] Disk "Host: 3.5" SATA HDD 2" failed. Volume: vol01, Storage pool: 1.
と、マウントしていない旨の連絡。更に、ディスクの状況でも
「ディスクS.M.A.R.T情報を読み取ることができません。全てのディスクが公式互換性リストに登録されていることを確認してください。
ディスクアクセス履歴:エラー
ディスクS.M.A.R.T情報:エラー
また、ストレージプールを見ても「メンバーではない」という状況です。
導入して1週間も経っていないので、対応を行います。
やったこと
NAS本体の再起動
この手のハードウェア初期構築時の基本です。
しかしNG。
ディスクのさし直し
幸い、RAID1で組んだディスクは「ホットスワップ」可能です。つまり、1本ダメでももう1本が正常であれば機器の通電中だろうとディスクの取り外しと交換が可能です。
しかしこちらもNG。
導かれる結論:初期不良
バルク品だろうとリテール品だろうと発生する「初期不良」にとっ捕まりました。いわゆる「バスタブ曲線」の最初の高い位置にあるところです。
そもそもバスタブ曲線とは?
以下、Geminiによる解説。
- 初期故障期 (Infant Mortality Period)
- 使い始めの時期に発生する故障です。
- 特徴: 稼働開始直後は故障率が高く、時間の経過とともに急速に減少します。
- 主な原因: 設計ミス、製造不良、不適切な部品の混入など。
- 使い始めの時期に発生する故障です。
- 偶発故障期 (Random Failure Period)
- 初期故障が収まり、故障率が低く安定している時期です。
- 特徴: 故障がいつ起こるか予測しにくく、一定の低い故障率を維持します。
- 主な原因: 予期せぬ過負荷、操作ミス、落雷などの外部要因。
- 初期故障が収まり、故障率が低く安定している時期です。
- 摩耗故障期 (Wear-out Failure Period)
- 長期間の使用により、故障率が再び上昇し始める時期です。
- 特徴: 部品の寿命や劣化が原因で、故障が多発します。
- 主な原因: 摩耗、疲労、腐食、酸化などの物理的・化学的な劣化。
- 長期間の使用により、故障率が再び上昇し始める時期です。
この、「初期故障機」に捕まりました。
嘆いていっても事態が変わるわけでもなし。やれることをやっていきます。
『未来戦隊タイムレンジャー』の
未来は変えられなくたって、自分達の明日ぐらい変えようぜ!
の精神。それに、「初期対応が可能な帰還。それも移行中」にこの不良が見つかったのはむしろ幸いと言えます。正当な権利として購入店に対応を依頼できるのですから。
というわけで、次のエントリーではこの対応のメモを記します。
筆者はUbuntu環境のApache設定で
- 不審なIP/NWをブロック
- 過剰にアクセスしてくるクローラーをエージェントで判別してブロック
というセキュリティ対策を取っています。(詳細)
しかし、これは相手もその辺りの呼吸をわきまえていて、
- まだブロックされていない/もしくは攻撃者がよく使うASN「ではない」アクセス元から
- 正常なアクセスを装って
- 情報を袖手したり攻撃の糸口をつかもうとする
パターンが割とあります。今回、それを検知した時のお話。
不自然に見えたログ
例によってURLとIPアドレスはダミーですが、以下のような奇妙なログを見つけました。
192.0.2.10 - - [27/Mar/2026:10:28:03 +0900] "GET /images/?1770681132 HTTP/1.1" 404 5506 "-" "Mozilla/5.0 (Linux; Android 5.0; SM-G900P Build/LRX21T) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/60.0.4601.1280 Mobile Safari/537.36"一見、ただの404エラーではありますが、強烈な違和感を覚えました。
違和感1「古いAndroid端末」
Android 5.0は、2018年頃に公式セキュリティサポート終了。GooglePlay開発者サービスも2024年7月には終わっています。
違和感2「古いChrome」
同じくChrome60。これも2017年と古いバージョンです。
違和感3「TLS1.3貫通」
そんな古いAndroidが筆者のサイトにアクセスできるということはまず、あり得ません。種を明かしてしまうと、筆者のWebサイトは
#SSL対応
SSLEngine on
Protocols h2 http/1.1
SSLProtocol all -SSLv3 -TLSv1 -TLSv1.1 -TLSv1.2として、TLS1.3未満のアクセスができないようになっています。 この暗号化形式をサポートするようになったのはAndroid10以降。
結論:エージェント偽装。
古いAndroidが新しいSSL暗号が施されたサイトには、そもそもアクセス不可能です。リクエストの段階でハンドシェイクが拒否されるため、404エラーどころかWebサイトそのものが見られません。
しかし、上記のアクセスログは「古いAndroidのバージョンからTLS1.3のSSLログが残る」。つまり、残る結論はほぼ「エージェントを偽装してくるクローラー」に限られます。
アプリ開発者が Conscrypt(Google製のセキュリティライブラリ)などをアプリに同梱している場合は、Android 4.4以降の古い端末でもアプリ単位でTLS 1.3通信を行える場合がありますが、そんな回りくどい方法はないでしょう
措置:新たなエージェント拒否を追加。
筆者の「厄介なエージェントを拒否する」仕組みがこちら。
- apache側
(省略)
# botのアクセスリストを外部ファイルから読み込む
Include /etc/apache2/conf-enabled/bad-bot-list.conf
(省略)
<RequireAll>
# bad_bot変数がセットされていたらアクセスを拒否
Require not env bad_bot
# それ以外は許可
Require all granted
</RequireAll>- bad-bot-list.conf
SetEnvIfNoCase User-Agent "facebookexternalhit/1\.1" bad_bot dontlog
SetEnvIfNoCase User-Agent "SemrushBot/7~bl" bad_bot dontlog
SetEnvIfNoCase User-Agent "AhrefsBot" bad_bot dontlog
SetEnvIfNoCase User-Agent "MJ12bot" bad_bot dontlog
SetEnvIfNoCase User-Agent "DotBot" bad_bot dontlog
SetEnvIfNoCase User-Agent "Baiduspider" bad_bot dontlog
SetEnvIfNoCase User-Agent "YandexBot" bad_bot dontlog
SetEnvIfNoCase User-Agent "Sogou web spider" bad_bot dontlog等。この、SetEnvIfNoCase User-Agentの箇所に、以下を加えます。
# Android 10.0未満 を排除する
SetEnvIfNoCase User-Agent "Android [1-9]\." bad_bot dontlog
# 10年以上前の古いOS(Windows XP/Vista等)を装うボットも排除
SetEnvIfNoCase User-Agent "Windows NT [3-5]\." bad_bot dontlog
# その他、不自然な挙動を示すUA群
SetEnvIfNoCase User-Agent "^$" bad_bot dontlog後は
sudo apache2ctl configtestsudo systemctl reload apache2.serviceで、上記、不自然なログのアクセスはピタリと止まりました。
まとめ
不正アクセスにはユーザーのみならず
- IPアドレス
- ドメイン
はもとより、OSやエージェントを偽装してくる輩も多いので。
だが…………
マヌケは見つかったようだな
ぐらいの勢いでアクセスログを観察していきましょうというお話でした。
昨日からの作業ログです。
ストレージ基盤の確定
※先日からのステータス
- RAID同期完了:
- RAID 1 (ミラーリング) のビルドが正常終了。
ボリューム、ドライブ作成
- ボリューム作成:
- ドライブの確認
- タイプ: シックボリューム (Thick Volume)
- 任意の名前のエイリアス
- 容量: 4.2 TB (プール残容量 1.62 TB をバッファとして確保)
- ドライブの確認
設定後、構築・フォーマット完了、「準備完了」を確認。
ネットワーク・セキュリティ設計
- ドメイン連携:
- 独自ドメインでの名前解決を確認。
- SSL証明書省略:
- 直接インポート試行時に手持ちのWebサイト用のワイルドカード証明書をインポートしようとしましたが、ECDSA アルゴリズム非対応によるエラーを確認。
- 運用負荷(3ヶ月更新)と汎用性を考慮し、この段階でのWeb画面のSSL設定はオミット。リバースプロキシを試すなりを行います。
システムメンテナンス
- ファームウェア更新:
- バージョン: 5.1.5.2645 → 5.2.9.3410 (Build 20260214)
最新状態へのアップデートおよび再起動を実施。
最終疎通確認
- SMBアクセス:
- Windowsエクスプローラーより
\\NASのドメインへのアクセスおよびPublic/workフォルダの視認を確認。
- Windowsエクスプローラーより
開封
本体を開封したのがこちら。重さはずっしり。
作業ログ
1. 導入フェーズ
- 機材選定:
- QNAP TS-216G / WD Red Plus 8TB (WD80EFPX) ×2
- 物理セットアップ:
- HDD装填、ネットワーク接続完了
2. 初期初期化フェーズ
- デバイス検出:
- Qfinder ProをPCにインストール。ネットワーク上の対象機器を補足
- NAS名と管理者名をセットアップ。パスワードも設定。
- 時間設定:
- タイムゾーン(JST)、NTP同期 (pool.ntp.org) 成功
- NW設定:
- 静的IPアドレス固定。後にサーバでも使うことになるため。
- ファームウェア運用:
- 通知のみ、自動更新なし(管理者手動制御)操作中のファイル操作を防ぐため。
ストレージ構築フェーズ
- 物理確認:
- HDD 2基の正常認識を確認
- プール作成:
- ストレージプール 1 の構築開始
- RAID構成:
- RAID 1 (ミラーリング)
- データ保護:
- スナップショット領域 20% 確保
- ボリューム設計:
- シックボリューム(Thick Volume)採用確定
現在状況:
RAID同期(リシンク)実行中。8TBのディスクの同期なので、これは待ちの状況。新しい機器のセットアップは面倒ですが子心躍ります。
昨日の続き。
HTTP ObservatoryでRedmineサイトをB-→B+に改善しましたが、
筆者環境の
- Apache 2.4によるリバースプロキシ
- Growi v7.4.7
環境のHTTP診断もそのぐらいであろうと思ったらまさかのF判定を食らいました。
Fランクの内訳
最初の診断結果では、以下の項目で派手に減点を食らっていました。
- CSP (Content Security Policy):
- 未設定 (-25)
- Cookies:
- Secure属性なし (-20)
- HSTS: 認識されず
- (-20)
- X-Frame-Options / X-Content-Type-Options:
- 認識されず (-25)
特に謎だったのが、「Apache側でHeader設定を入れているはずなのに、認識されない(Failed)」という点でした。
アプリとApacheの二重出力。
原因を調査するため、curl -I コマンドで生のレスポンスヘッダーを確認しました。
curl -I https://growi-siteStrict-Transport-Security: max-age=63072000
Strict-Transport-Security: max-age=15552000; includeSubDomains # <-- 2重に出ている
X-Content-Type-Options: nosniff
X-Content-Type-Options: nosniff # <-- 2重に出ている
Set-Cookie: connect.sid=...; Path=/; HttpOnly # <-- Secure属性がない原因の分析:
リバースプロキシ構成では、「バックエンド(アプリ側)が吐き出すヘッダー」と「Apacheが追加しようとするヘッダー」が両方ブラウザに届いてしまい、重複が発生。
診断ツール側が「どの設定を信頼すべきか判断できない」としてエラーになっていたのです。
これを回避するための手段が以下の通りです。
さっくりとした手順
- Apacheの設定ファイルを書き換えます。
- 設定を反映します。
- 設定反映を確認します。
Apacheの設定ファイルを書き換え
- 設定ファイルのバックアップ
sudo cp -pi /etc/apache2/sites-available/growi-site.conf /path/to/backup/growi-site.conf.$(date +%Y%m%d).confの名前やバックアップディレクトリは自分の環境に合わせます。
- 設定ファイルのバックアップ確認
diff -u /path/to/backup/growi-site.conf.$(date +%Y%m%d) /etc/apache2/sites-available/growi-site.confエラーがないことを確認します。
/etc/apache2/sites-available/growi-site.confを以下のように修正していきます。(要管理者権限)
- 修正前
Header always set Strict-Transport-Security "max-age=63072000"
Header always set X-Content-Type-Options "nosniff"
Header always set X-Frame-Options "SAMEORIGIN"
Header always set X-XSS-Protection "1; mode=block"- 修正後
# 重複を防ぐため、通常のレスポンスとProxyレスポンスの両方から一旦削除
Header unset Strict-Transport-Security
Header always unset Strict-Transport-Security
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header unset X-Content-Type-Options
Header always unset X-Content-Type-Options
Header always set X-Content-Type-Options "nosniff"
Header unset X-Frame-Options
Header always unset X-Frame-Options
Header always set X-Frame-Options "SAMEORIGIN"
# 足りなかった重要ヘッダーを新規追加
Header always set Referrer-Policy "strict-origin-when-cross-origin"
# CSP: アプリの動作を維持しつつ、安全性を高める(object-src 'none' を追加)
Header always unset Content-Security-Policy
Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self' ws: wss:; object-src 'none';"
# CookieのSecure属性をApache側で強制付与
Header edit Set-Cookie ^(.-)$ "$1; Secure; SameSite=Lax"この「2重出力」を解消し、かつアプリ側で足りない属性を付与するために、Apacheの設定を「既存ヘッダーの完全掃除 + 強制セット」という戦略に変更しました。
- 修正後の差分確認
diff -u /path/to/backup/growi-site.conf.$(date +%Y%m%d) /etc/apache2/sites-available/growi-site.conf以下のような差分を確認します。
- Header always set X-Content-Type-Options "nosniff"
- Header always set X-Frame-Options "SAMEORIGIN"
- Header always set X-XSS-Protection "1; mode=block"
+ # 重複を防ぐため、通常のレスポンスとProxyレスポンスの両方から一旦削除
+ Header unset Strict-Transport-Security
+ Header always unset Strict-Transport-Security
+ Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
+
+ Header unset X-Content-Type-Options
+ Header always unset X-Content-Type-Options
+ Header always set X-Content-Type-Options "nosniff"
+
+ Header unset X-Frame-Options
+ Header always unset X-Frame-Options
+ Header always set X-Frame-Options "SAMEORIGIN"
+
+ # 足りなかった重要ヘッダーを新規追加
+ Header always set Referrer-Policy "strict-origin-when-cross-origin"
+
+ # CSP: アプリの動作を維持しつつ、安全性を高める(object-src 'none' を追加)
+ Header always unset Content-Security-Policy
+ Header always set Content-Security-Policy "default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self' ws: wss:; object-src 'none';"
+
+ # CookieのSecure属性をApache側で強制付与
+ Header edit Set-Cookie ^(.-)$ "$1; Secure; SameSite=Lax"設定反映を確認します。
- 構文確認
sudo apache2ctl configtestSyntax OKを確認します。
- サービス再起動
sudo systemctl restart apache2.service- サービス再起動確認
systemctl status apache2.serviceactive (running)を確認します。
設定反映の確認
curl -I https://growi-siteStrict-Transport-Security: max-age=63072000; includeSubDomains; preload
X-Content-Type-Options: nosniff
X-Frame-Options: SAMEORIGIN
X-XSS-Protection: 1; mode=block
Referrer-Policy: strict-origin-when-cross-origin
Content-Security-Policy: default-src 'self'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline'; img-src 'self' data: https:; font-src 'self' data:; connect-src 'self' ws: wss:; object-src 'none';など、ヘッダーのダブりがないことを確認します。
HTTP Observe に再度アクセスし、セキュリティ診断を行いました。
再スキャンの結果、主要な項目はすべて Passed となり、無事に B+ を獲得。
- HSTS / XFO / NoSniff: 重複が解消され、正しく認識された。
- Cookies: Secure/SameSite属性が付き、満点。
- Referrer Policy: 合格。
なぜ「A+」ではないのか?
CSPにおける 'unsafe-inline' や 'unsafe-eval' が「安全ではない」として減点対象になっています。しかし、これらを外すとモダンなWebアプリ(Wikiのエディタなど)は動かなくなることが多いため、利便性とのトレードオフとして 「B+」は現実的な落とし所と言えます。
まとめ
- 診断ツールで「Recognizedできない」と言われたら、まずは
curl -Iで重複を疑う。 - Apache側で
Header always unsetしてからsetすることで、バックエンドとの競合を確実に排除できる。 - CookieのSecure化もApacheの
Header editで一発解決。